SentinelOne, qui vient de lancer PinnacleOne, un groupe d’analyse stratégique des risques et de conseil, dirigé par les experts Chris Krebs et Alex Stamos, s’attache à aider les dirigeants à comprendre les réalités des cybermenaces actuelles, en les amenant à se poser 5 questions essentielles.

1) En tant que dirigeant, prenez-vous la cybersécurité au sérieux et êtes-vous convaincu de son importance ?
L’équipe de cybersécurité ne pourra pas atteindre ses objectifs (sécuriser l’intégralité du périmètre d’attaque), si la cybersécurité n’est pas également la priorité du PDG. Il est indispensable que le RSSI ait le soutien du conseil d’administration.
Mais prendre la cybersécurité au sérieux induit également que le CEO s’implique auprès des équipes et comprenne ce qu’elles font au quotidien. Cela amène tout naturellement à se poser des questions sous-jacentes telles que : connaissez-vous les membres de l’équipe de cybersécurité ? A quelle fréquence échangez-vous avec eux ? Le strict minimum serait une fois par mois pour faire un point de situation et une fois par jour en cas d’incident.

2) Si c’est le cas, y accordez-vous les ressources suffisantes ?
Il est indispensable que le CEO accorde les investissements raisonnables et nécessaires dont les équipes de sécurité ont besoin pour réussir leur mission. Ces ressources, qu’elles soient budgétaires, humaines ou technologiques, doivent être intégrées au plan annuel d’investissement afin de garantir que tout est mis en œuvre pour protéger l’entreprise, ses collaborateurs, ses clients et partenaires, en un mot toutes les composantes de son business.

3) Avez-vous repensé votre stratégie de cybersécurité pour passer d’une posture tactique à une approche plus stratégique ?
Ce changement de point de vue est crucial et doit permettre aux dirigeants d’entreprises d’être plus impliqués sur les questions de cybersécurité. De même, les équipes de cybersécurité doivent davantage prendre en compte les aspects business et s’inscrire dans la stratégie globale de l’entreprise. Elles ne doivent pas uniquement se préoccuper de l’aspect technologique, mais également mesurer les risques pouvant peser sur la réputation de l’entreprise, la responsabilité juridique des dirigeants, l’impact sur les actionnaires, … Il est donc incontournable d’établir un rythme régulier, de définir des critères communs de communication entre l’équipe technique et les dirigeants. Ainsi chacun pourra prendre en considération les problématiques de l’autre et répondre aux points suivants : comment travaillez-vous avec les responsables des unités opérationnelles ? comment communiquez-vous les risques ? quels sont les facteurs clés et les paramètres de réussite d’un programme de cybersécurité ayant du sens pour un dirigeant ? Quelle valeur apportez-vous à l’entreprise ?

4) (Pour les entreprises plus matures) Prenez-vous en compte l’impact des questions géopolitiques dans votre stratégie de cybersécurité ?
Les différentes tensions internationale (Israël, Ukraine, ...) s’accompagnent souvent de nouvelles cyberattaques. Les chercheurs en cybersécurité ont, en effet, observé depuis le début de la guerre en Ukraine, l’émergence de nouvelles formes d’attaques telles l’hacktivisme mêlant militantisme et compétences en piratage informatique, dans le but de favoriser des changements politiques ou sociétaux. La multiplication des ransomwares attribuées potentiellement à des groupes de hackers russes semble en être la preuve et personne n’est à l’abri. Les conflits internationaux doivent inciter les entreprises à relever leur niveau de sécurité.

5) Êtes-vous au fait des dernières règlementations et de votre responsabilité personnelle en cas de non-respect ?
Selon le RGPD, si des données personnelles d’utilisateurs ont été volées, une déclaration auprès de la CNIL est obligatoire dans les 72 heures qui suivent la cyberattaque. En cas de non-respect, une amende, fixée à 4 % du chiffre d’affaires mondial annuel de l’entreprise, peut être exigée. Son montant peut aller jusqu’à 20 millions d’euros, en cas de non-respect.
Mais il faut également savoir que la responsabilité personnelle civile et/ou pénale du dirigeant est engagée. On peut lui reprocher une négligence ou insuffisance de préparation de son entreprise, un manquement à l’obligation d’assurer la sécurité des données ou encore un défaut de notification de la violation de données aux autorités de contrôle et aux personnes concernées. Il peut encourir jusqu’à 5 ans d’emprisonnement et 300.000 EUR d’amende en matière pénale.

En fin de compte, les dirigeants ne sont pas seulement confrontés à des acteurs de la menace, à des groupes de ransomware, à de l’espionnage industriel, ils doivent aussi faire face à la pression réglementaire et prendre les mesures appropriées pour ne pas être exposés à des amendes importantes en cas de violation de données ou de non- conformité. Il leur faut être stratégiques et regarder vers l’avenir pour s’assurer qu’ils ne sont pas juste préparés aux problèmes d’hier mais également aux défis de demain. Un programme de sécurité adaptatif et orienté vers la stratégie apparaît comme la clé du succès.